Palo Alto Networks Phát Hành Bản Vá Cho Các Lỗ Hổng Nghiêm Trọng Trong Công Cụ Expedition

Palo Alto Networks đã phát hành bản cập nhật cho công cụ Expedition, nhằm khắc phục năm lỗ hổng bảo mật nghiêm trọng. Những lỗ hổng này có thể bị khai thác để truy cập trái phép vào thông tin nhạy cảm và thực hiện các cuộc tấn công nguy hiểm. Các lỗ hổng này bao gồm tiêm lệnh hệ điều hành, tiêm SQL, lưu trữ thông tin nhạy cảm dưới dạng văn bản rõ ràng, và tấn công XSS phản chiếu.

Chi Tiết Các Lỗ Hổng

1. CVE-2024-9463 (CVSS 9.9): Đây là lỗ hổng tiêm lệnh hệ điều hành cho phép kẻ tấn công không xác thực thực thi các lệnh hệ điều hành tùy ý với quyền root. Điều này có thể dẫn đến việc lộ tên đăng nhập, mật khẩu rõ ràng, cấu hình thiết bị, và khóa API của tường lửa PAN-OS .

2. CVE-2024-9464 (CVSS 9.3): Lỗ hổng này tương tự như CVE-2024-9463 nhưng yêu cầu xác thực. Kẻ tấn công có thể khai thác để chạy các lệnh hệ điều hành với quyền root, dẫn đến lộ thông tin nhạy cảm.

3. CVE-2024-9465 (CVSS 9.2): Lỗ hổng tiêm SQL cho phép kẻ tấn công không xác thực truy cập vào cơ sở dữ liệu của Expedition. Điều này có thể tiết lộ các băm mật khẩu, tên đăng nhập, và cấu hình thiết bị, cũng như cho phép tạo và đọc các tệp tùy ý trên hệ thống.

4. CVE-2024-9466 (CVSS 8.2): Lỗ hổng lưu trữ thông tin nhạy cảm dưới dạng văn bản rõ ràng cho phép kẻ tấn công đã xác thực tiết lộ tên đăng nhập, mật khẩu, và khóa API của tường lửa.

5. CVE-2024-9467 (CVSS 7.0): Lỗ hổng XSS phản chiếu cho phép kẻ tấn công thực thi mã JavaScript độc hại trong trình duyệt của người dùng Expedition đã xác thực, nếu người dùng nhấp vào liên kết độc hại. Điều này có thể dẫn đến các cuộc tấn công lừa đảo và đánh cắp phiên trình duyệt.

Khuyến Nghị và Biện Pháp Khắc Phục

• Cập Nhật Phần Mềm: Người dùng nên ngay lập tức cập nhật lên phiên bản Expedition 1.2.96 hoặc mới hơn để khắc phục các lỗ hổng này. Phiên bản mới đã bao gồm các bản vá cho tất cả các lỗ hổng đã được phát hiện.

• Thay Đổi Thông Tin Đăng Nhập: Sau khi cập nhật, người dùng nên thay đổi tất cả tên đăng nhập, mật khẩu, và khóa API liên quan để đảm bảo an toàn.

• Giới Hạn Quyền Truy Cập: Hạn chế quyền truy cập mạng vào công cụ Expedition chỉ cho những người dùng được ủy quyền để giảm thiểu nguy cơ bị tấn công.

• Kiểm Tra Xâm Nhập: Đối với các quản trị viên muốn phát hiện khả năng bị xâm nhập liên quan đến CVE-2024-9465, có thể sử dụng lệnh chỉ báo xâm nhập (IoC) sau để kiểm tra:

mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;"

Nếu lệnh này trả về các bản ghi, có thể chỉ ra rằng hệ thống đã bị xâm nhập. Tuy nhiên, điều này không đảm bảo rằng hệ thống không bị xâm nhập nếu không có bản ghi nào được trả về.

Kết Luận

Các lỗ hổng trong công cụ Expedition của Palo Alto Networks là rất nghiêm trọng và có thể dẫn đến việc lộ thông tin nhạy cảm và truy cập trái phép. Việc cập nhật phần mềm và thực hiện các biện pháp bảo mật là cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng. Palo Alto Networks đã nhanh chóng phát hành bản vá và cung cấp hướng dẫn chi tiết để giúp người dùng bảo vệ hệ thống của mình.

Tham khảo

1. PAN-SA-2024-0010 Expedition

2. Critical vulnerabilities in Palo Alto Expedition: everything you need to know

3. Admins warned to update Palo Alto Networks Expedition tool immediately

4. Palo Alto Networks Issues Fix for Critical Vulnerabilities, Including CVE-2024-9463 (CVSS 9.9)